質問: 管理者は DNS テレメトリを使用して、脅威を検出および阻止する際に NetFlow データを補完するにはどうすればよいですか?
ハイアスのデビッド・ラトナー最高経営責任者(CEO)は次のように述べています。 長年にわたり、DevSecOps チームはフロー データ (NetFlow および同様のテクノロジーによって収集された情報) に大きく依存して、ネットワーク内で発生するイベントに関する洞察を収集してきました。 しかし、クラウドへの移行とネットワークの複雑化に伴い、フロー データの有用性は薄れてきました。
ネットワーク トラフィックの監視は、新しいビッグ データの問題です。 少量のフロー データをサンプリングするか、より包括的なセットを受け取るために高いコストが発生します。 しかし、すべてのデータを使用しても、悪意のあるアクティビティを示す微妙な異常なインシデント (おそらく XNUMX つまたは少数のデバイスと比較的少量のトラフィックが関係する) を検出することは、干し草の山から針を探すようなものです。
管理者とセキュリティ チームは、DNS テレメトリを使用して、自身のネットワークへの可視性を取り戻すことができます。 フロー データよりも監視が容易で安価であり、脅威インテリジェンス データに基づいて、未知のドメイン、異常なドメイン、または悪意のあるドメインを特定できます。 これらのサービスは、DevSecOps 管理者に警告を発し、インシデントを調査する正確な場所に関する情報を提供できます。 必要に応じて、管理者は対応するフロー データにアクセスして、イベントに関する追加の実用的な情報を取得し、イベントが無害か悪意のあるものかを識別し、悪意のあるアクティビティを追跡できます。 DNS テレメトリは、チームがより迅速かつ効率的に注意が必要な領域に集中できるようにすることで、ビッグ データの問題を解決します。
問題を視覚化する簡単な方法は、犯罪行為に関連する通話を傍受するために、近隣のすべての公衆電話を杭打ちすることを想像することです。 各公衆電話を積極的に監視し、各公衆電話から発信された各通話の内容を監視することは、信じられないほど面倒です。 ただし、この類推では、DNS 監視は、特定の公衆電話が電話をかけたこと、電話をかけた時間、電話をかけた人を通知します。 この情報を使用して、フロー データをクエリして、相手が通話に応答したかどうかや通話時間など、追加の関連情報を見つけることができます。
実際のシナリオは次のように発生する可能性があります。DNS 監視システムは、複数のデバイスが、異常で悪意のある可能性があるとフラグが付けられたドメインに呼び出しを行っていることを検出します。 この特定のドメインは、これまで攻撃で使用されたことはありませんが、異常であり、異常であり、追加の迅速な調査が必要です。 これによりアラートがトリガーされ、管理者は特定のデバイスのフロー データとそのドメインとの特定の通信をクエリするように求められます。 そのデータを使用して、悪意のあるアクティビティが実際に発生しているかどうかを迅速に判断できます。発生している場合は、通信をブロックしてマルウェアを C2 インフラストラクチャから切り離し、大きな損害が発生する前に攻撃を阻止できます。 一方、異常なトラフィックには何らかの正当な理由があった可能性があり、実際には悪質ではありません。デバイスが更新のために新しいサーバーにアクセスしているだけかもしれません. いずれにせよ、今、あなたは確かに知っています。
